Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...

Die Seite wird erstellt Silvia Keil
 
WEITER LESEN
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
Die Datenschutz-
Grundverordnung in der
Apotheke
- Die neuen rechtlichen Anforderungen an
Apothekeninhaber -

Februar 28, 2018
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
Seite 2
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
Gliederung
I.        Datenschutz-Grundverordnung (DS-GVO) – warum?

II.       Was ist Datenschutzrecht?

              1. Anwendungsbereich
              2. Rolle der DS-GVO
              3. Praktische Anwendungsfälle

III. Was kommt auf Apotheken zu?

              1.   Empfindliche Sanktionen / weitreichende behördliche Befugnisse
              2.   Datenschutzbeauftragter
              3.   Verfahrensverzeichnis
              4.   Einwilligungserklärungen
              5.   Informationspflichten

Seite 3
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
Gliederung
          6.    Datenschutzkonzept
          7.    „Offline“-Datenschutz
          8.    Datenschutz-Folgeabschätzung?
          9.    Zusammenarbeit mit Externen
          10.   Strafrechtliche Dimension

IV. Diskussion / Erfahrungsaustausch

           • weitere „offline“-Situationen?
           • Stand der Vorbereitungen im Hinblick auf die DS-GVO?
           • Fragen?

Seite 4
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
DS-GVO – warum?

Seite 5
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
DS-GVO – warum?
Erwägungsgründe (EG):

„(6) Rasche technologische Entwicklungen und die Globalisierung haben
den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der
Erhebung und des Austauschs personenbezogener Daten hat
eindrucksvoll zugenommen. Die Technik macht es möglich, dass private
Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch
nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen.
Zunehmend machen auch natürliche Personen Informationen öffentlich
weltweit zugänglich. Die Technik hat das wirtschaftliche und gesellschaftliche
Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb
der Union sowie die Datenübermittlung an Drittländer und internationale
Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu
gewährleisten ist.“

Seite 6
Die Datenschutz-Grundverordnung in der Apotheke - Die neuen rechtlichen Anforderungen an Apothekeninhaber - Guten ...
DS-GVO – warum?
EG:

„(7) Diese Entwicklungen erfordern einen soliden, kohärenteren und klar
durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der
Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen,
die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter
wachsen zu können. Natürliche Personen sollten die Kontrolle über ihre
eigenen Daten besitzen. Natürliche Personen, Wirtschaft und Staat sollten in
rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.“

Seite 7
DS-GVO – warum?
Hintergrund:

•     P: „Big Data“ – Google, Amazon, Apple. Facebook: Sammeln und
      zweckentfremdetes Verwerten von Nutzerdaten als Geschäftsmodell

•     P: Apps und Cloud-Services ermöglichen weltweite Datentransfers,
      insbesondere in unsichere Drittländer wie die USA

          à Apotheken als Leidtragende des strengen DS-GVO-Ansatzes!

Warum gerade Apotheken?

•     Apotheken verarbeiten sensible Gesundheitsdaten
•     Apotheken verarbeiten u.a. auf Grundlage von Einwilligungen
•     Apotheken übermitteln (sensible) Daten an Dritte

Seite 8
Was ist Datenschutzrecht?
1. Begrifflichkeiten / Anwendungsbereich, Art. 2 ff. DS-GVO:

•     „Personenbezogene Daten“:

„Alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person beziehen.“

à Nicht nur Patienten, sondern insbesondere auch Mitarbeiter!

•     „Verarbeitung“:

„Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen
Daten.“

à Online wie offline!
Seite 9
Was ist Datenschutzrecht?
•    „Gesundheitsdaten“:

„Personenbezogene Daten, die sich auf die körperliche oder geistige
Gesundheit einer natürlichen Person, einschließlich der Erbringung von
Gesundheitsdienstleistungen, beziehen und aus denen Informationen über
deren Gesundheitszustand hervorgehen.“

à P: Reichweite des Personenbezugs? Beispiele:

•    Angaben über Medikamentenkonsum: (+)
•    Erwerb verschreibungspflichtiges Medikament: (+)
•    Erwerb nicht-verschreibungspflichtiges Medikament: regelmäßig auch
     eigener Bedarf, daher wohl (+) – str. bei Erwerb für „Hausapotheke“
•    Besuch Apotheke: (-)
•    Parken des Boten-Kfz vor Immobilie: (-)
•    Mitgliedschaft in Krankenkasse (-)
Seite 10
Was ist Datenschutzrecht?
•     „Verantwortlicher“:

… ist „die […] Stelle, die allein oder gemeinsam mit anderen über die Zwecke
und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Seite 11
Was ist Datenschutzrecht?
à P: Gibt es im Filialverbund eine verantwortliche Stelle oder mehrere
verantwortliche Stellen?

•    Landesdatenschutzbehörde Bayern (überzeugend): Gleichlauf ApoG/
     ApBetrO und DS-GVO, d.h. nur eine verantwortliche Stelle, wenn
     gemeinsame EDV-Anlage

à Folge: Keine Verantwortlichkeit auch des Filialleiters, keine Vereinbarung
über gemeinsame Verantwortlichkeit erforderlich, gemeinsame Dokumentation
möglich, ein Datenschutzbeauftragter für Apothekenverbund möglich

•    Landesdatenschutzbehörde NRW: keine Aussage

•    Weitere Anfragen: bislang unbeantwortet, (noch) kein Problembewusstsein
     insoweit bei Behörden?

Seite 12
Was ist Datenschutzrecht?
2. Rolle der DS-GVO:

•    (unionsweites) unmittelbares Inkrafttreten am 25.05.2018

•    Sog. Verbot mit Erlaubnisvorbehalt

•    Erlaubnistatbestände („Ob“ der Rechtmäßigkeit): z.B.
     Vertragsdurchführung, Einwilligung, …

•    „Wie“ der Rechtmäßigkeit: IT-Sicherheit, Umgang mit erhobenen/
     gespeicherten Daten

•    Rechenschaftspflicht: Pflicht zur umfassenden Dokumentation

•    Massives „Aufstocken“ bei den Behörden!

Seite 13
Was ist Datenschutzrecht?
3. Praktische Anwendungsfälle:

•    Bearbeitung eines Rezepts (Patient – Apotheke – Rechenzentrum)

•    Kundenkartenanträge à umfassende Einwilligungserklärung ist Pflicht

•    Herstellung (Patient – Apotheke – Herstellerbetrieb)

•    P: Amazon (aktuell vor LG Dessau – Az. 3 O 29/17)

•    Führung und Aufbewahrung von Ordnern

•    P: WhatsApp à trotz Ende-zu-Ende-Verschlüsselung Datentransfer in die
     USA als „unsicheres Drittland“

Seite 14
Quelle: https://de.toonpool.com/cartoons/WhatsApp-Verschl%C3%BCsselung_267869#

Seite 15   Februar 28, 2018
WhatsApp - Beispiel:

Seite 16
WhatsApp
•    Schlussanträge des Generalanwalts vom 24.10.2017 (Rs. C-210/16) zum
     Betrieb von Facebook-Fanpages:

               • Betreiber einer Fanpage ist für die Erhebung und Verarbeitung
                 personenbezogener Daten verantwortlich: er hat sich die
                 Vertragsbedingungen von Facebook aus freien Stücken
                 angenommen und damit die volle Verantwortung für die
                 betroffenen Daten übernommen; er hat die Macht, die Fanpage
                 wieder zu schließen

           •    Genauso entscheidet der Apotheker über das Ob von WhatsApp
                als Bestellweg in die Apotheke

                   à volle Verantwortung des Apothekenleiters!

Seite 17
WhatsApp
Landesdatenschutzbeauftragter Thüringen:

„Auch Apotheker haben im Rahmen ihres Geschäftsbetriebes die geltenden
datenschutzrechtlichen Bestimmungen zu beachten. Hierzu gehört es, auch für
Kommunikationswege die technischen und organisatorischen Voraussetzungen
zu schaffen, die für die darüber laufenden personenbezogenen Daten
angemessen und notwendig sind.“

à Der Einsatz von WhatsApp in der Apotheke kann nicht empfohlen
  werden.

(Weiterführend: Douglas/Kalkbrenner, Die datenschutzrechtliche Bewertung der
Einbindung von WhatsApp in die Arzneimittelvorbestellung, Arzneimittel&Recht
2018, S. 3 ff.)

Seite 18
Was ist Datenschutzrecht?

           Fazit: „Datenschutz ist Chefsache“

à Einhaltung des Datenschutzes obliegt dem Unternehmensinhaber – die
       Einstellung eines Datenschutzbeauftragten exkulpiert nicht.

Seite 19
Was kommt auf Apotheken zu?
           1. Sanktionen / behördliche Befugnisse
           2. Datenschutzbeauftragter
           3. Verfahrensverzeichnis
           4. Einwilligungserklärungen
           5. Informationspflichten
           6. Datenschutzkonzept
           7. „Offline“-Datenschutz
           8. Datenschutz-Folgeabschätzung?
           9. Zusammenarbeit mit Externen
           10. Strafrechtliche Dimension

Seite 20
Empfindliche Sanktionen
•    Bußgelder: je nach Verstoß bis zu 2% Jahresumsatz / 10 Mio. EUR oder
     4% Jahresumsatz / 20 Mio. EUR à Datenschutzrecht als das „neue
     Kartellrecht“

•    Wettbewerbsrecht: Vorschriften der DS-GVO als sog.
     Marktverhaltensregelungen à Mitbewerberschutz:

           •   Abmahnungen
           •   zivilgerichtliche Verfügungs- und Hauptsacheverfahren
           •   Abwehr-, Auskunfts-, Kostenerstattungsansprüche
           •   Beseitigung: Vernichtung der Daten
           •   Relevanz des immateriellen Schadensersatzanspruchs (Art. 82
               Abs. 1 DS-GVO)?

Seite 21
Befugnisse der Behörden
Art. 58 DS-GVO:

•    Anweisung, alle erforderlichen Informationen bereitzustellen
•    Untersuchungen in Form von Datenschutzprüfungen
•    Hinweis auf Verstöße
•    Zugang zu allen personenbezogenen Daten und erforderlichen
     Informationen
•    Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen und -geräte

à „Vorboten“ schon jetzt spürbar: umfangreiche, stichprobenartige
Anfrage der Landesdatenschutzbehörde Brandenburg bereits im Herbst
2017

Seite 22
Datenschutzbeauftragter
Rechtliche Grundlagen – Auslegung str.

•    Art. 37 DS-GVO:

„Der Verantwortliche [benennt] auf jeden Fall einen Datenschutzbeauftragten,
wenn […] die Kerntätigkeit des Verantwortlichen […] in der umfangreichen
Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […]
besteht.“

•    Im Übrigen § 38 BDSG-neu:

… wenn sich „in der Regel mindestens zehn Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigen“

à Personen = Köpfe, nicht Vollzeitstellen

Seite 23
Datenschutzbeauftragter
à Pflicht zur Bestellung:

•    Insbesondere Bearbeitung von Rezepten ist Haupttätigkeit einer Apotheke

•    a.A. ABDA: Nein, da es nicht zur schwerpunktmäßigen Aufgabe des
     Apothekers gehört, Daten zu verarbeiten…

•    Wenn in einer Apotheke verarbeitete Daten sogar besonderem
     gesetzlichen Schutz unterliegen (§ 203 StGB – Verletzung von
     Privatgeheimnissen), dann sind sie doch erst recht auch in
     datenschutzrechtlicher Hinsicht maßgeblich!

                            à per se Bestellpflicht;

•    Sollte Apotheke dies gleichwohl vermeiden wollen, sollte schriftliche
     Bestätigung der Behörde eingeholt werden
Seite 24
Datenschutzbeauftragter
•    Bestellung: Voraussetzung Fachwissen auf dem Gebiet des
     Datenschutzrechts; Mitteilung bei Aufsichtsbehörde

•    Aufgaben: Datenschutzbeschwerden prüfen, Anlaufstelle intern wie extern,
     Kooperation mit Aufsichtsbehörde

•    Verhältnis zum Apothekenleiter: unabhängig von fachlichen Weisungen;
     verantwortlich im Außenverhältnis ist der Apothekenleiter!

•    Sanktion: Nichtbestellung à Bußgeld (bis zu 2% Jahresumsatz / 10 Mio.
     EUR)

Seite 25
Datenschutzbeauftragter
Intern vs. Extern – Pro-Contra:

•    „vor Ort sein“

•    Kosten

•    Kündigungsschutz

•    P: „Pauschalangebote“ à Wer hier spart, zahlt beim Bußgeld drauf!

•    Schutz von Betriebsgeheimnissen bei externem DSB

•    Haftungsfragen im Innenverhältnis

Seite 26
Verfahrensverzeichnisse
Rechtliche Grundlage, Art. 30 DS-GVO:

•     Abs. 1: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen
      ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit
      unterliegen.“

•     Abs. 2: Dies gilt „nicht für Unternehmen oder Einrichtungen, die weniger als
      250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene
      Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen
      Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt
      eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Abs. 1
      bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche
      Verurteilungen und Straftaten im Sinne des Artikels 10.“

      à Pflicht zur Führung von Verfahrensverzeichnissen in Apotheken
                                  unstreitig

Seite 27
Verfahrensverzeichnisse
•    Zweck: Nachweis der Einhaltung der DS-GVO (EG 82)

•    Verantwortlich: Apothekenleiter

•    Inhalt: detaillierte Angaben zu einzelnen Datenverarbeitungsvorgängen
     (Zweck, Rechtsgrundlage, Betroffene, Empfänger, Speicherfristen,
     Sicherheitsvorkehrungen)

•    Vorlagepflicht gegenüber Behörden auf Anfrage (keine Unterscheidung
     mehr intern/extern)

•    Sanktion: Nichtführung à Bußgeld (bis zu 2% Jahresumsatz / 10 Mio.
     EUR)

Seite 28
Anpassung Einwilligungserklärungen
•    Anwendungsbereich Einwilligungen:

Eine Einwilligung ist „jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene Willensbekundung in Form einer
Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der
die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist.“

•    P: Gesundheitsdaten à „ausdrückliche“ Einwilligung erforderlich

•    P: Kundenkarten für Haupt- und Filialapotheken à ein Verantwortlicher?
     (s.o.)

•    P: „Haltbarkeit“ von ungenutzten Einwilligungserklärungen (LG München –
     Az. 17 HKO 138/10: ca. 1,5 Jahre) à Spannungsfeld zu gesetzlichen
     Aufbewahrungspflichten (z.B. nach § 12 BtMVV, drei Jahre)

Seite 29
Informationspflichten bei Datenerhebung
•    Pflichtangaben nach Art. 13 DS-GVO:

Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, Zwecke
und Rechtsgrundlagen der Verarbeitung, Empfänger (Drittländer?),
Speicherdauer bzw. -kriterien, Widerrufrecht bzgl. Einwilligung,
Beschwerderecht bei Aufsichtsbehörde, Folgen der Nichtbereitstellung der
Daten, …

•    Die Hinweispflicht ist unabhängig vom rechtlichen Erlaubnistatbestand

•    Konstellationen: Online, aber insbesondere auch Alltagsgeschäft!

•    Sanktion: unterbliebene Hinweise à Bußgeld (bis zu 2% Jahresumsatz / 10
     Mio. EUR)

Seite 30
Informationspflichten bei Datenerhebung
•    P: Unmöglichkeit des Hinweises bei bestimmten Verarbeitungssituationen,
     z.B. bei Telefonat

•    Zurverfügungstellung auf anderem Weg (EuGH, Urt. v. 30.03.2017 – Rs.
     C-146/16), z.B. bei späterem Apothekenbesuch, oder Hinweis auf im
     Internet abrufbare Informationen

•    Empfehlenswerter Zusatz auf künftiger Geschäftskommunikation:

      Die Grundsätze unserer Datenverarbeitung können Sie in unserer
      Apotheke einsehen oder unter [www.xy-apotheke.de/datenschutz].

Seite 31
Vorhalten eines Datenschutzkonzepts
•    Grundlage: Rechenschaftspflicht

•    Zweck: v.a. Handreichung an die Mitarbeiter, aber auch Rechtfertigung
     gegenüber Aufsichtsbehörden

•    Inhalt: Verhaltensmaßnahmen (z.B. bei Datenpannen – Meldung innerhalb
     72 Stunden Pflicht!), Beschreibung der eigene Standards, Hinweis auf
     Datenschutzbeauftragten

•    Dauerhaftes Training der Mitarbeiter

•    Enge Zusammenarbeit mit der IT erforderlich

•    Datenschutz beginnt offline

Seite 32
„Offline“-Datenschutz
•    Konstellationen:

           • Diskretionsabstand
           • Umgang mit Faxsendeberichten
           • Sichtfelder auf PC-Bildschirme
           • Reichweite von Mithörgelegenheit bei Telefonaten in normaler
             Lautstärke
           • Botendienst
           • Laufwege von Externen in der Apotheke
           • …

•    Maßnahmen: Arbeitsanweisungen, etwa im Rahmen der Apotheken-
     Datenschutzrichtlinie

Seite 33
Datenschutz-Folgeabschätzung
Art. 35 DS-GVO:

„(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den
Schutz personenbezogener Daten durch. […]

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in
folgenden Fällen erforderlich:

[…]

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen
Daten gemäß Artikel 9 Absatz 1 […].“
Seite 34
Datenschutz-Folgeabschätzung
EG 91:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich
gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder
von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen
Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In
diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend
vorgeschrieben sein.“

 •    P: DS-Folgeabschätzung nun erforderlich oder nicht?!
           à Positivlisten der Aufsichtsbehörden (Abs. 4) noch nicht vorhanden
           à Bei Filialverbund wohl ja, ansonsten im Zweifel wohl ebenfalls ja

 •    Durchführung (Abs. 7): Identifizierung riskanter Verarbeitungsvorgänge,
      interne Bewertung des Risikos, bei hohem Risiko Konsultation der
      Aufsichtsbehörde
Seite 35
Zusammenarbeit mit externen
Dienstleistern
•    Beispiele für Datenaustausch mit Dritten: Rechenzentren, Blisterzentren,
     Herstellerbetriebe, personalisiertes Marketing

•    Relevanz: Apotheke bleibt verantwortlich à unzureichende Auswahl des
     Dienstleisters fällt auf Apotheke zurück! LDA Brandenburg: ADV-Verträge
     werden überprüft

•    Inhalt von ADV-Verträgen: Vertraulichkeit beim Auftragsverarbeiter, TOM
     des Auftragsverarbeiters, Weisungsrecht des Verantwortlichen, Art der
     übermittelten Daten, Zweck und Dauer der Übermittlung, u.v.m.

•    Sanktionen: Verstoß gegen Art. 28 DS-GVO à Bußgeld (bis zu 2%
     Jahresumsatz / 10 Mio. EUR)

Seite 36
Strafrechtliche Dimension
Neuregelung des § 203 StGB (auszugsweise):

„(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den
Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen
berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den
Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2
Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen
offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken,
soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden
Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen,
wenn diese sich weiterer Personen bedienen, die an der beruflichen oder
dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.“

Seite 37
Strafrechtliche Dimension
„(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer
unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei
Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den
Absätzen 1 und 2 genannten Personen tätiger Beauftragter für den
Datenschutz bekannt geworden ist. Ebenso wird bestraft, wer

1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen
   hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr
   bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes
   Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht
   für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder
   2 genannte Person sind,

2.      als im Absatz 3 genannte mitwirkende Person sich einer weiteren
mitwirkenden Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei
Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, bedient
und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet
wurde;“
Seite 38
Strafrechtliche Dimension
•    Dritter macht sich bei Geheimnisbruch ebenfalls strafbar

•    P: Verpflichtung auf Vertraulichkeit „mehr“ als Verpflichtung auf
     Datengeheimnis?

à Ja, wegen der gravierenden Folgen bei Verstoß gegen § 203 StGB – darauf
   muss gesondert hingewiesen werden!

•    Verhältnis zur Auftragsdatenverarbeitung: Wenn die Datenweitergabe
     Kundendaten und nicht nur Apothekendaten betrifft, ist neben dem ADV-
     Vertrag der Externe zur Verschwiegenheit nach § 203 StGB zu verpflichten!

•    P: Für die Verpflichtung „Sorge tragen“ bei Unternehmen als mitwirkende
     Stelle à „Kettenverpflichtungen“

Seite 39
Strafrechtliche Dimension
„Sehr geehrte Frau Apothekerin,
sehr geehrter Herr Apotheker,

wie bereits durch viele Fachmedien angekündigt, kommt durch eine Vielzahl an
Änderungen bestehender Gesetze (z. B. Strafgesetz) bzw. aufgrund der
Einführung neuer Gesetze ( Datenschutzgrundverordnung) auf alle
Marktteilnehmer ein erheblicher administrativer Aufwand zu.

Durch die Novellierung des §203 StGB werden Sie als unser Auftraggeber nun
gezwungen, uns schriftlich auf Verschwiegenheit zu verpflichten und uns über
ein eventuelles Strafmaß bei einem Verstoß zu unterrichten, um sich nicht
selbst strafbar zu machen.

Seite 40
Strafrechtliche Dimension
Wir möchten Sie im Dschungel der Vorschriften und Regelungen bestmöglich
unterstützen und Ihnen weitestmöglich Verwaltungsakte abnehmen.

Deshalb erhalten Sie heute unsere Verschwiegenheitserklärung nach §203
StGB, welche Sie bitte zu Ihren Vertragsunterlagen nehmen.
Bei Anfragen können Sie jederzeit auf diese Erklärung verweisen.

Mit freundlichen Grüßen

i.V. XY“

Seite 41
Strafrechtliche Dimension
•    Erklärung muss erkennen lassen, wer beim Erklärenden die persönliche
     Verantwortung für den Datenschutz übernimmt

•    Bei Gesellschaften reicht es nicht aus, dass sich die Gesellschaft
     verpflichtet – es muss sich stets eine natürliche Person persönlich
     verpflichten

•    Bei Verweigerung dem Partner schlicht anbieten, man werde dieses
     Vorgehen der zuständigen Datenschutzbehörde vorlegen.

•    Im Zweifel immer schriftliche Bestätigung der Datenschutzbehörde
     einholen.

Seite 42
Rx Versandverbot?
•    Rx-Versandverbot steht im Koalitionsvertrag

•    BMG geht an CDU; aber Jens Spahn eigentlich Kritiker des Verbots

•    Gesetzesentwurf von alter Regierung liegt vor, könnte wiederbelebt werden

•    Entscheidend wäre, ob GKV tatsächlich Arzneimittellieferungen aus dem
     Ausland nicht mehr bezahlt

•    Apotheker würden Preis für Verbot bei Honorarverhandlungen zu neuem
     Arzneimittelpreis Recht bezahlen

•    Politik will nicht auf Ausgang der gerichtlichen Verfahren warten

•    Alles bleibt ungewiss

Seite 43
Vielen Dank für Ihre
            Aufmerksamkeit!

    Diskussion / Erfahrungsaustausch /
                  Fragen

Seite 44
Noch Fragen?

Dr. Morton Douglas       Dr. Lukas Kalkbrenner
morton.douglas@fgvw.de   lukas.kalkbrenner@fgvw.de
+49 761 21808-346        +49 761 21808-307

Seite 45
Sie können auch lesen